Symantec Endpoint Security Complete (SESC) enthält die Endpoint Detection and Response (EDR) Technologie, mit Hilfe derer nach allen möglichen Ereignissen auf dem Endpunkt gesucht werden kann. Dabei werden die Ereignisse zuerst im Endpoint Activity Recorder auf dem Endpunkt selbst gespeichert und eine Teilmenge daraus wird an die SESC Cloud geschickt. Neben anderen Information, z. B. LiveUpdate Events, Scans etc, können diese Informationen in der Cloud über „Investigate“ durchsucht werden.
Daten, die vom Endpunkt and die Cloud geschickt wurden, finden Sie unter der „Cloud Database“ Suche (1). Daten, die nicht geschickt wurden, sich aber auf dem Endpunkt im Activity Recorder befinden, z. B. wer hat wann welchen Registry Key geschreiben oder verändert, können Sie über eine „Endpoint“ Suche (2) in die Cloud zur weiteren Untersuchung holen.
Aufgrund der Vielzahl von Events, die auf einem Endpunkt generiert werden ist es wichtig, zuerst einmal zu überprüfen, ob die Events einigermaßen rechtzeitig in der Cloud angezeigt werden.
Dazu sollten Sie neben der „Time“ auch die „Log Time“ in der Konsole anzeigen. Gibt es hier einen Unterschied von mehr als 5 Minuten haben Sie zwei Möglichkeiten.
- Überprüfen Sie die EDR-Policy.
- Reduzieren die Anzhal der Events
Überprüfen der EDR-Policy
In der zugewiesenen EDR-Policy wird definiert, in welchem Intervall der Endpunkt die Ereignisse in die Cloiud lädt. Wenn hier „Hourly Upload“ eingestellt ist, werden Events nur jede Stunde an die Cloud geschickt.
Weitere Informationen zu dieser Einstellung bei Broadcom.
Reduzieren der Anzahl von Events
Auf einem meiner Rechner habe ich ein Programm, welches mehrmals in der Sekunde ein anderes Programm aufruft und damit meine EDR flutet, sowohl im Endpoint Activity Recorder, als auch in der Cloud. Dies führte dann sogar dazu, dass unter „Investigate“ zwischen dem Aufrufen des Programs auf dem Endpunkt und der Meldung an die Konsole eine Zeitverzögerung von mehr als 2 Stunden auftrat. In einem solchen Fall macht es absolut Sinn, diese Events zumindest nicht an die Cloud zu schicken und Sie nur auf dem Endpunkt im Recorder aufzuheben. Dazu können in der EDR-Policy Regeln definiert werden.
Für jede Regel wird dabei entscheiden, ob die Daten selbst auf dem Endpunkt nicht gespeichert werden, ob sie auf dem Endpunkt gespeichert aber eben nicht an die Cloud geschickt werden, ob sie gespeichert und geschickt werden, oder ob das Monitoring in diesem Fall komplett deaktiviert werden soll.
Weitere Beiträge zum gleichen Thema: